Servus, ich bin gerade dabei einen vserver von gs-wd.de einzurichten. Der support ist mies (antwort war: deine ftp config is mist).

Ich will mal versuchen mein Problem zu erklären.


Ich benutze Proftp mit einer SQL DB als backend.
Wenn ich den FTP --> AUS <-- mache, liefert mir



bash:/# netstat -nap | grep :21


kein ergebnis - logisch.


Wenn ich mich lokal von der maschine aus auf den ftp verbinden will kommt:



bash:/# telnet x.x.x.x 21
Trying x.x.x.x...
telnet: Unable to connect to remote host: Connection refused


Soweit auch korrekt.

Wenn ich jetzt aber von meinem windows PC oder jedem anderen root server den ich habe, eine verbindung aufbaue:



[R] Connecting to xxxxxxx.xxx -> DNS=xxxxxxxxx.xxx IP=x.x.x.x PORT=21 (attempt # 1)
[R] Connected to x.x.x.x
[R] Connection failed (Connection lost)


zum vergleich, ein connect auf einem anderen port:



[R] Connecting to xxxxxxx.xxx -> DNS=xxxxxxx.xxx IP=x.x.x.x PORT=24
[R] Connection failed (Connection refused)



Was hat mein Provider da bitte kaputt gemacht bzw. auf dem host system eingerichtet?


-- Achja,


bash:/var# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
bash:/var#


an den firewall regeln liegt es nicht.

Lauscht da irgendetwas auf Port 21? Was sagt nmap?

da oben stehen alle infos, nmap kannste vergleichen mit dem connect in dem Zitat Nr. 3 von mir.



[R] Connecting to xxxxxxx.xxx -> DNS=xxxxxxxxx.xxx IP=x.x.x.x PORT=21 (attempt # 1)
[R] Connected to x.x.x.x
[R] Connection failed (Connection lost)


Das Connected to x.x.x.x steht ~5-6Sekunden da, anschliessend kommt der Verbindungsabbruch.

Schau mal per tcpdump.

mfg
cane

ah gute idee. ich habe allerdings einen windows pc mit etherdetect bevorzugt.

Zu sehen, der Datenfluss eines

telnet 91.198.32,90 21
auf der IP:21 lief laut "netstat -nap | grep :21" nichts.

Die MAC Adresse des Ziels ist NICHT die MAC Adresse der Server NIC.
Da es ja bei dem Server aber um einen Vserver geht, vermute ich das es das Host-System ist.

Vergleich: bei einem Connect auf port 15 wurden dieselben Packete übertragen, dieselbe MAC angezeigt, jedoch die Verbindung korrekt "Refused".

http://img175.imageshack.us/img175/6793/etherdetectqm3.jpg


Die Forensoftware mochte das Bild nicht. ;)

Hi,

es waere gut wenn man mal die TCP Flags einer ganzen Session sehen koennte. Wenn das bei einem Port funktioniert und beim anderen nicht, ist wie der Support gesagt hat, das Problem beim FTP Daemon.

Wenn allerdings kein FTP Daemon laueft _und_ der connect "antwortet", dann hast Du vielleicht ein Rootkit drauf.

Wie gesagt IMHO waere tcpdump die bessere Wahl gewesen, das rechts oben sieht aus als wenn Du immer RST auf die SYN Anforderungen bekommst. (d.h. der Port waere dann dicht)

Gruss
403

PS, die Forensoftware mag das txt Format ;)

In Richtung rootkit habe ich auch bereits gedacht und noch vor meinem post chkrootkit scannen lassen. Ohne Ergebnisse.


Denke windump tuts auch:




windump: listening on \Device\NPF_{5CDA0198-9A07-42A8-A058-872A33570B2B}
20:52:46.938206 IP baxx.4125 > 91.198.32.90.21: S 1100242111:1100242111(0) win 32767 <mss 1452,nop,wscale 0,nop,nop,timestamp 0 0>
20:52:46.986861 IP 91.198.32.90.21 > baxx.4125: R 0:0(0) ack 1100242112 win 0
20:52:47.437391 IP baxx.4125 > 91.198.32.90.21: S 1100242111:1100242111(0) win 32767 <mss 1452,nop,wscale 0,nop,nop,timestamp 0 0>
20:52:47.485020 IP 91.198.32.90.21 > baxx.4125: R 0:0(0) ack 1 win 0
20:52:47.940320 IP baxx.4125 > 91.198.32.90.21: S 1100242111:1100242111(0) win 32767 <mss 1452,nop,wscale 0,nop,nop,timestamp 0 0>
20:52:47.987883 IP 91.198.32.90.21 > baxx.4125: R 0:0(0) ack 1 win 0



Edit: achja und ftp is natürlich aus.

1. Ja, lass tcpdump -evvvvenX -s0 port 21 laufen und mach dabei den FTP Daemon an/aus. + Requestversuche.

2. poste Output hier.
Wenn Traffic vom FTP Port kommt und der FTPd aus ist, weisst Du Bescheid, dass dort ein RK laueft. ( wenn TCP Handshake erfolgt ist)

3. chkrootkit ist auch nur pattern matching, also kein Garant. Es waere gut, wenn Du irgendwo einen 'Known State' (tripwire db, mtree) gegen den aktuellen Stand vergleichen kannst.

edit:
4. == 0. Eigentlich wollte ich Dir noch sagen:
Schau in den News bei deinem Hoster nach, schreib mail, ruf an evtl. machen sie ja Wartungsarbeiten an der FW, aber der Support schrub
Dir ja bereit s dass Deine ftpd config Mist sei, Hast Du das geprueft?

der support hat die antwort nicht aufgrund des IST Stands gemacht sondern aufgrund des: Ach da schreibt bestimmt ein noob ich will ihn loswerden. Deswegen hab ich mich ja an euch gewandt.
Edit: ich bezweifle das der support viel ahnung hat, .. IN CNAME ist laut support für Mailserver.
FTP AUS:


C:\Dokumente und Einstellungen\Basti\Desktop>windump -i 2 -evvvvenX -s0 port 21
windump: listening on \Device\NPF_{5CDA0198-9A07-42A8-A058-872A33570B2B}
22:16:09.097425 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800),
length 74: (tos 0x0, ttl 64, id 13615, offset 0, flags [none], proto: TCP (6),
length: 60) 192.168.2.24.4259 > 91.198.32.90.21: S, cksum 0x1efe (correct), 1594
162549:1594162549(0) win 32767 <mss 1452,nop,wscale 0,nop,nop,timestamp 0 0>
0x0000: 4500 003c 352f 0000 4006 06ad c0a8 0218 E..<5/..@.......
0x0010: 5bc6 205a 10a3 0015 5f04 fd75 0000 0000 [..Z...._..u....
0x0020: a002 7fff 1efe 0000 0204 05ac 0103 0300 ................
0x0030: 0101 080a 0000 0000 0000 0000 ............
22:16:09.145690 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800),
length 60: (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto: TCP (6), length
: 40) 91.198.32.90.21 > 192.168.2.24.4259: R, cksum 0x03bd (correct), 0:0(0) ack
1594162550 win 0
0x0000: 4500 0028 0000 4000 3906 02f0 5bc6 205a E..(..@.9...[..Z
0x0010: c0a8 0218 0015 10a3 0000 0000 5f04 fd76 ............_..v
0x0020: 5014 0000 03bd 0000 0000 0000 0000 P.............
22:16:09.570256 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800),
length 74: (tos 0x0, ttl 64, id 13616, offset 0, flags [none], proto: TCP (6),
length: 60) 192.168.2.24.4259 > 91.198.32.90.21: S, cksum 0x1efe (correct), 1594
162549:1594162549(0) win 32767 <mss 1452,nop,wscale 0,nop,nop,timestamp 0 0>
0x0000: 4500 003c 3530 0000 4006 06ac c0a8 0218 E..<50..@.......
0x0010: 5bc6 205a 10a3 0015 5f04 fd75 0000 0000 [..Z...._..u....
0x0020: a002 7fff 1efe 0000 0204 05ac 0103 0300 ................
0x0030: 0101 080a 0000 0000 0000 0000 ............
22:16:09.618328 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800),
length 60: (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto: TCP (6), length
: 40) 91.198.32.90.21 > 192.168.2.24.4259: R, cksum 0x03bd (correct), 0:0(0) ack
1 win 0
0x0000: 4500 0028 0000 4000 3906 02f0 5bc6 205a E..(..@.9...[..Z
0x0010: c0a8 0218 0015 10a3 0000 0000 5f04 fd76 ............_..v
0x0020: 5014 0000 03bd 0000 0000 0000 0000 P.............
22:16:10.073199 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800),
length 74: (tos 0x0, ttl 64, id 13617, offset 0, flags [none], proto: TCP (6),
length: 60) 192.168.2.24.4259 > 91.198.32.90.21: S, cksum 0x1efe (correct), 1594
162549:1594162549(0) win 32767 <mss 1452,nop,wscale 0,nop,nop,timestamp 0 0>
0x0000: 4500 003c 3531 0000 4006 06ab c0a8 0218 E..<51..@.......
0x0010: 5bc6 205a 10a3 0015 5f04 fd75 0000 0000 [..Z...._..u....
0x0020: a002 7fff 1efe 0000 0204 05ac 0103 0300 ................
0x0030: 0101 080a 0000 0000 0000 0000 ............
22:16:10.120885 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800),
length 60: (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto: TCP (6), length
: 40) 91.198.32.90.21 > 192.168.2.24.4259: R, cksum 0x03bd (correct), 0:0(0) ack
1 win 0
0x0000: 4500 0028 0000 4000 3906 02f0 5bc6 205a E..(..@.9...[..Z
0x0010: c0a8 0218 0015 10a3 0000 0000 5f04 fd76 ............_..v
0x0020: 5014 0000 03bd 0000 0000 0000 0000 P.............

6 packets captured
18 packets received by filter
0 packets dropped by kernel


FTP an:



22:20:46.816588 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 15197, offset 0, flags [none], proto: TCP (6), length: 60) 192.168.2.24.4267 > 91.198.32.90.21: S, cksum 0x83c6 (correct), 3219142601:3219142601(0) win 32767 <mss 1452,nop,wscale 0,nop,nop,timestamp 0 0>
0x0000: 4500 003c 3b5d 0000 4006 007f c0a8 0218 E..<;]..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37c9 0000 0000 [..Z......7.....
0x0020: a002 7fff 83c6 0000 0204 05ac 0103 0300 ................
0x0030: 0101 080a 0000 0000 0000 0000 ............
22:20:46.867947 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto: TCP (6), length: 48) 91.198.32.90.21 > 192.168.2.24.4267: S, cksum 0xd3c0 (correct), 583872362:583872362(0) ack 3219142602 win 5840 <mss 1452,nop,wscale 4>
0x0000: 4500 0030 0000 4000 3906 02e8 5bc6 205a E..0..@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2f6a bfe0 37ca ........"./j..7.
0x0020: 7012 16d0 d3c0 0000 0204 05ac 0103 0304 p...............
22:20:46.867963 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 64, id 15201, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.2.24.4267 > 91.198.32.90.21: ., cksum 0x9651 (correct), 1:1(0) ack 1 win 32767
0x0000: 4500 0028 3b61 0000 4006 008f c0a8 0218 E..(;a..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37ca 22cd 2f6b [..Z......7."./k
0x0020: 5010 7fff 9651 0000 P....Q..
22:21:01.933585 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 116: (tos 0x0, ttl 57, id 11489, offset 0, flags [DF], proto: TCP (6), length: 102) 91.198.32.90.21 > 192.168.2.24.4267: P, cksum 0xc6b8 (correct), 1:63(62) ack 1 win 365
0x0000: 4500 0066 2ce1 4000 3906 d5d0 5bc6 205a E..f,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2f6b bfe0 37ca ........"./k..7.
0x0020: 5018 016d c6b8 0000 3232 3020 5072 6f46 P..m....220.ProF
0x0030: 5450 4420 312e 332e 3020 5365 7276 6572 TPD.1.3.0.Server
0x0040: 2028 424e 4334 594f 5520 4654 5020 5365 .(BNC4YOU.FTP.Se
0x0050: 7276 6572 2920 5b39 312e 3139 382e 3332 rver).[91.198.32
0x0060: 2e39 305d 0d0a .90]..
22:21:02.083121 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 64, id 15320, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.2.24.4267 > 91.198.32.90.21: ., cksum 0x9651 (correct), 1:1(0) ack 63 win 32705
0x0000: 4500 0028 3bd8 0000 4006 0018 c0a8 0218 E..(;...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37ca 22cd 2fa9 [..Z......7."./.
0x0020: 5010 7fc1 9651 0000 P....Q..
22:21:04.226149 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15341, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2148 (correct), 1:2(1) ack 63 win 32705
0x0000: 4500 0029 3bed 0000 4006 0002 c0a8 0218 E..);...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37ca 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 2148 0000 75 P...!H..u
22:21:04.272704 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11490, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x14a5 (correct), 63:63(0) ack 2 win 365
0x0000: 4500 0028 2ce2 4000 3906 d60d 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37cb ........"./...7.
0x0020: 5010 016d 14a5 0000 0000 0000 0000 P..m..........
22:21:04.331581 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15344, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2347 (correct), 2:3(1) ack 63 win 32705
0x0000: 4500 0029 3bf0 0000 4006 fffe c0a8 0218 E..);...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37cb 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 2347 0000 73 P...#G..s
22:21:04.377878 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11491, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x14a4 (correct), 63:63(0) ack 3 win 365
0x0000: 4500 0028 2ce3 4000 3906 d60c 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37cc ........"./...7.
0x0020: 5010 016d 14a4 0000 0000 0000 0000 P..m..........
22:21:04.490174 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15347, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x3146 (correct), 3:4(1) ack 63 win 32705
0x0000: 4500 0029 3bf3 0000 4006 fffb c0a8 0218 E..);...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37cc 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 3146 0000 65 P...1F..e
22:21:04.536530 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11492, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x14a3 (correct), 63:63(0) ack 4 win 365
0x0000: 4500 0028 2ce4 4000 3906 d60b 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37cd ........"./...7.
0x0020: 5010 016d 14a3 0000 0000 0000 0000 P..m..........
22:21:04.654165 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15352, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2445 (correct), 4:5(1) ack 63 win 32705
0x0000: 4500 0029 3bf8 0000 4006 fff6 c0a8 0218 E..);...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37cd 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 2445 0000 72 P...$E..r
22:21:04.700372 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11493, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x14a2 (correct), 63:63(0) ack 5 win 365
0x0000: 4500 0028 2ce5 4000 3906 d60a 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37ce ........"./...7.
0x0020: 5010 016d 14a2 0000 0000 0000 0000 P..m..........
22:21:04.818427 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15355, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x7644 (correct), 5:6(1) ack 63 win 32705
0x0000: 4500 0029 3bfb 0000 4006 fff3 c0a8 0218 E..);...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37ce 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 7644 0000 20 P...vD...
22:21:04.864755 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11494, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x14a1 (correct), 63:63(0) ack 6 win 365
0x0000: 4500 0028 2ce6 4000 3906 d609 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37cf ........"./...7.
0x0020: 5010 016d 14a1 0000 0000 0000 0000 P..m..........
22:21:05.060544 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15358, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x3443 (correct), 6:7(1) ack 63 win 32705
0x0000: 4500 0029 3bfe 0000 4006 fff0 c0a8 0218 E..);...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37cf 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 3443 0000 62 P...4C..b
22:21:05.107386 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11495, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x14a0 (correct), 63:63(0) ack 7 win 365
0x0000: 4500 0028 2ce7 4000 3906 d608 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37d0 ........"./...7.
0x0020: 5010 016d 14a0 0000 0000 0000 0000 P..m..........
22:21:05.160305 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15362, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x3542 (correct), 7:8(1) ack 63 win 32705
0x0000: 4500 0029 3c02 0000 4006 ffec c0a8 0218 E..)<...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37d0 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 3542 0000 61 P...5B..a
22:21:05.206714 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11496, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x149f (correct), 63:63(0) ack 8 win 365
0x0000: 4500 0028 2ce8 4000 3906 d607 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37d1 ........"./...7.
0x0020: 5010 016d 149f 0000 0000 0000 0000 P..m..........
22:21:05.209174 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15365, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2341 (correct), 8:9(1) ack 63 win 32705
0x0000: 4500 0029 3c05 0000 4006 ffe9 c0a8 0218 E..)<...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37d1 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 2341 0000 73 P...#A..s
22:21:05.255736 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11497, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x149e (correct), 63:63(0) ack 9 win 365
0x0000: 4500 0028 2ce9 4000 3906 d606 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37d2 ........"./...7.
0x0020: 5010 016d 149e 0000 0000 0000 0000 P..m..........
22:21:05.473654 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15368, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2240 (correct), 9:10(1) ack 63 win 32705
0x0000: 4500 0029 3c08 0000 4006 ffe6 c0a8 0218 E..)<...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37d2 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 2240 0000 74 P..."@..t
22:21:05.520313 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11498, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x149d (correct), 63:63(0) ack 10 win 365
0x0000: 4500 0028 2cea 4000 3906 d605 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37d3 ........"./...7.
0x0020: 5010 016d 149d 0000 0000 0000 0000 P..m..........
22:21:05.583899 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15373, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2d3f (correct), 10:11(1) ack 63 win 32705
0x0000: 4500 0029 3c0d 0000 4006 ffe1 c0a8 0218 E..)<...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37d3 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 2d3f 0000 69 P...-?..i
22:21:05.630481 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11499, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x149c (correct), 63:63(0) ack 11 win 365
0x0000: 4500 0028 2ceb 4000 3906 d604 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37d4 ........"./...7.
0x0020: 5010 016d 149c 0000 0000 0000 0000 P..m..........
22:21:05.806469 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 15386, offset 0, flags [none], proto: TCP (6), length: 42) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x8933 (correct), 11:13(2) ack 63 win 32705
0x0000: 4500 002a 3c1a 0000 4006 ffd3 c0a8 0218 E..*<...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37d4 22cd 2fa9 [..Z......7."./.
0x0020: 5018 7fc1 8933 0000 0d0a P....3....
22:21:05.853468 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11500, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x149a (correct), 63:63(0) ack 13 win 365
0x0000: 4500 0028 2cec 4000 3906 d603 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37d6 ........"./...7.
0x0020: 5010 016d 149a 0000 0000 0000 0000 P..m..........
22:21:05.855137 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 88: (tos 0x0, ttl 57, id 11501, offset 0, flags [DF], proto: TCP (6), length: 74) 91.198.32.90.21 > 192.168.2.24.4267: P, cksum 0x0c03 (correct), 63:97(34) ack 13 win 365
0x0000: 4500 004a 2ced 4000 3906 d5e0 5bc6 205a E..J,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fa9 bfe0 37d6 ........"./...7.
0x0020: 5018 016d 0c03 0000 3333 3120 5061 7373 P..m....331.Pass
0x0030: 776f 7264 2072 6571 7569 7265 6420 666f word.required.fo
0x0040: 7220 6261 7374 692e 0d0a r.basti...
22:21:06.005967 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 64, id 15389, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.2.24.4267 > 91.198.32.90.21: ., cksum 0x9645 (correct), 13:13(0) ack 97 win 32671
0x0000: 4500 0028 3c1d 0000 4006 ffd2 c0a8 0218 E..(<...@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37d6 22cd 2fcb [..Z......7."./.
0x0020: 5010 7f9f 9645 0000 P....E..
22:21:07.806238 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15408, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x263c (correct), 13:14(1) ack 97 win 32671
0x0000: 4500 0029 3c30 0000 4006 ffbe c0a8 0218 E..)<0..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37d6 22cd 2fcb [..Z......7."./.
0x0020: 5018 7f9f 263c 0000 70 P...&<..p
22:21:07.882818 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11502, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1477 (correct), 97:97(0) ack 14 win 365
0x0000: 4500 0028 2cee 4000 3906 d601 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37d7 ........"./...7.
0x0020: 5010 016d 1477 0000 0000 0000 0000 P..m.w........
22:21:07.927252 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15411, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x353b (correct), 14:15(1) ack 97 win 32671
0x0000: 4500 0029 3c33 0000 4006 ffbb c0a8 0218 E..)<3..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37d7 22cd 2fcb [..Z......7."./.
0x0020: 5018 7f9f 353b 0000 61 P...5;..a
22:21:07.973978 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11503, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1476 (correct), 97:97(0) ack 15 win 365
0x0000: 4500 0028 2cef 4000 3906 d600 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37d8 ........"./...7.
0x0020: 5010 016d 1476 0000 0000 0000 0000 P..m.v........
22:21:08.133969 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15414, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x233a (correct), 15:16(1) ack 97 win 32671
0x0000: 4500 0029 3c36 0000 4006 ffb8 c0a8 0218 E..)<6..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37d8 22cd 2fcb [..Z......7."./.
0x0020: 5018 7f9f 233a 0000 73 P...#:..s
22:21:08.180683 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11504, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1475 (correct), 97:97(0) ack 16 win 365
0x0000: 4500 0028 2cf0 4000 3906 d5ff 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37d9 ........"./...7.
0x0020: 5010 016d 1475 0000 0000 0000 0000 P..m.u........
22:21:08.276413 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15418, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2339 (correct), 16:17(1) ack 97 win 32671
0x0000: 4500 0029 3c3a 0000 4006 ffb4 c0a8 0218 E..)<:..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37d9 22cd 2fcb [..Z......7."./.
0x0020: 5018 7f9f 2339 0000 73 P...#9..s
22:21:08.322842 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11505, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1474 (correct), 97:97(0) ack 17 win 365
0x0000: 4500 0028 2cf1 4000 3906 d5fe 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37da ........"./...7.
0x0020: 5010 016d 1474 0000 0000 0000 0000 P..m.t........
22:21:08.472872 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15421, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x7638 (correct), 17:18(1) ack 97 win 32671
0x0000: 4500 0029 3c3d 0000 4006 ffb1 c0a8 0218 E..)<=..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37da 22cd 2fcb [..Z......7."./.
0x0020: 5018 7f9f 7638 0000 20 P...v8...
22:21:08.519406 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11506, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1473 (correct), 97:97(0) ack 18 win 365
0x0000: 4500 0028 2cf2 4000 3906 d5fd 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37db ........"./...7.
0x0020: 5010 016d 1473 0000 0000 0000 0000 P..m.s........
22:21:08.599929 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15425, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x3537 (correct), 18:19(1) ack 97 win 32671
0x0000: 4500 0029 3c41 0000 4006 ffad c0a8 0218 E..)<A..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37db 22cd 2fcb [..Z......7."./.
0x0020: 5018 7f9f 3537 0000 61 P...57..a
22:21:08.647133 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11507, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1472 (correct), 97:97(0) ack 19 win 365
0x0000: 4500 0028 2cf3 4000 3906 d5fc 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37dc ........"./...7.
0x0020: 5010 016d 1472 0000 0000 0000 0000 P..m.r........
22:21:08.743658 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15428, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2336 (correct), 19:20(1) ack 97 win 32671
0x0000: 4500 0029 3c44 0000 4006 ffaa c0a8 0218 E..)<D..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37dc 22cd 2fcb [..Z......7."./.
0x0020: 5018 7f9f 2336 0000 73 P...#6..s
22:21:08.790262 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11508, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1471 (correct), 97:97(0) ack 20 win 365
0x0000: 4500 0028 2cf4 4000 3906 d5fb 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37dd ........"./...7.
0x0020: 5010 016d 1471 0000 0000 0000 0000 P..m.q........
22:21:08.938116 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15431, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x3235 (correct), 20:21(1) ack 97 win 32671
0x0000: 4500 0029 3c47 0000 4006 ffa7 c0a8 0218 E..)<G..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37dd 22cd 2fcb [..Z......7."./.
0x0020: 5018 7f9f 3235 0000 64 P...25..d
22:21:08.984860 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11509, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1470 (correct), 97:97(0) ack 21 win 365
0x0000: 4500 0028 2cf5 4000 3906 d5fa 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37de ........"./...7.
0x0020: 5010 016d 1470 0000 0000 0000 0000 P..m.p........
22:21:09.126453 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 15436, offset 0, flags [none], proto: TCP (6), length: 42) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x8929 (correct), 21:23(2) ack 97 win 32671
0x0000: 4500 002a 3c4c 0000 4006 ffa1 c0a8 0218 E..*<L..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37de 22cd 2fcb [..Z......7."./.
0x0020: 5018 7f9f 8929 0000 0d0a P....)....
22:21:09.173142 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11510, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x146e (correct), 97:97(0) ack 23 win 365
0x0000: 4500 0028 2cf6 4000 3906 d5f9 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37e0 ........"./...7.
0x0020: 5010 016d 146e 0000 0000 0000 0000 P..m.n........
22:21:10.963798 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 57, id 11511, offset 0, flags [DF], proto: TCP (6), length: 62) 91.198.32.90.21 > 192.168.2.24.4267: P, cksum 0x6717 (correct), 97:119(22) ack 23 win 365
0x0000: 4500 003e 2cf7 4000 3906 d5e2 5bc6 205a E..>,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37e0 ........"./...7.
0x0020: 5018 016d 6717 0000 3533 3020 4c6f 6769 P..mg...530.Logi
0x0030: 6e20 696e 636f 7272 6563 742e 0d0a n.incorrect...
22:21:11.135817 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 64, id 15453, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.2.24.4267 > 91.198.32.90.21: ., cksum 0x963b (correct), 23:23(0) ack 119 win 32649
0x0000: 4500 0028 3c5d 0000 4006 ff92 c0a8 0218 E..(<]..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37e0 22cd 2fe1 [..Z......7."./.
0x0020: 5010 7f89 963b 0000 P....;..
22:21:12.448360 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15470, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2532 (correct), 23:24(1) ack 119 win 32649
0x0000: 4500 0029 3c6e 0000 4006 ff80 c0a8 0218 E..)<n..@.......
0x0010: 5bc6 205a 10ab 0015 bfe0 37e0 22cd 2fe1 [..Z......7."./.
0x0020: 5018 7f89 2532 0000 71 P...%2..q
22:21:12.494522 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11512, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1457 (correct), 119:119(0) ack 24 win 365
0x0000: 4500 0028 2cf8 4000 3906 d5f7 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fe1 bfe0 37e1 ........"./...7.
0x0020: 5010 016d 1457 0000 0000 0000 0000 P..m.W........
22:21:12.695695 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15474, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2131 (correct), 24:25(1) ack 119 win 32649
0x0000: 4500 0029 3c72 0000 4006 ff7c c0a8 0218 E..)<r..@..|....
0x0010: 5bc6 205a 10ab 0015 bfe0 37e1 22cd 2fe1 [..Z......7."./.
0x0020: 5018 7f89 2131 0000 75 P...!1..u
22:21:12.741630 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11513, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1456 (correct), 119:119(0) ack 25 win 365
0x0000: 4500 0028 2cf9 4000 3906 d5f6 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fe1 bfe0 37e2 ........"./...7.
0x0020: 5010 016d 1456 0000 0000 0000 0000 P..m.V........
22:21:12.907869 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15477, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x2d30 (correct), 25:26(1) ack 119 win 32649
0x0000: 4500 0029 3c75 0000 4006 ff79 c0a8 0218 E..)<u..@..y....
0x0010: 5bc6 205a 10ab 0015 bfe0 37e2 22cd 2fe1 [..Z......7."./.
0x0020: 5018 7f89 2d30 0000 69 P...-0..i
22:21:12.954505 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11514, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1455 (correct), 119:119(0) ack 26 win 365
0x0000: 4500 0028 2cfa 4000 3906 d5f5 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fe1 bfe0 37e3 ........"./...7.
0x0020: 5010 016d 1455 0000 0000 0000 0000 P..m.U........
22:21:13.055564 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 55: (tos 0x0, ttl 64, id 15481, offset 0, flags [none], proto: TCP (6), length: 41) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x222f (correct), 26:27(1) ack 119 win 32649
0x0000: 4500 0029 3c79 0000 4006 ff75 c0a8 0218 E..)<y..@..u....
0x0010: 5bc6 205a 10ab 0015 bfe0 37e3 22cd 2fe1 [..Z......7."./.
0x0020: 5018 7f89 222f 0000 74 P..."/..t
22:21:13.102608 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11515, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1454 (correct), 119:119(0) ack 27 win 365
0x0000: 4500 0028 2cfb 4000 3906 d5f4 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fe1 bfe0 37e4 ........"./...7.
0x0020: 5010 016d 1454 0000 0000 0000 0000 P..m.T........
22:21:13.355827 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 64, id 15485, offset 0, flags [none], proto: TCP (6), length: 42) 192.168.2.24.4267 > 91.198.32.90.21: P, cksum 0x8923 (correct), 27:29(2) ack 119 win 32649
0x0000: 4500 002a 3c7d 0000 4006 ff70 c0a8 0218 E..*<}..@..p....
0x0010: 5bc6 205a 10ab 0015 bfe0 37e4 22cd 2fe1 [..Z......7."./.
0x0020: 5018 7f89 8923 0000 0d0a P....#....
22:21:13.402137 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11516, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: ., cksum 0x1452 (correct), 119:119(0) ack 29 win 365
0x0000: 4500 0028 2cfc 4000 3906 d5f3 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fe1 bfe0 37e6 ........"./...7.
0x0020: 5010 016d 1452 0000 0000 0000 0000 P..m.R........
22:21:13.402658 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 68: (tos 0x0, ttl 57, id 11517, offset 0, flags [DF], proto: TCP (6), length: 54) 91.198.32.90.21 > 192.168.2.24.4267: P, cksum 0x2564 (correct), 119:133(14) ack 29 win 365
0x0000: 4500 0036 2cfd 4000 3906 d5e4 5bc6 205a E..6,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fe1 bfe0 37e6 ........"./...7.
0x0020: 5018 016d 2564 0000 3232 3120 476f 6f64 P..m%d..221.Good
0x0030: 6279 652e 0d0a bye...
22:21:13.403019 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 57, id 11518, offset 0, flags [DF], proto: TCP (6), length: 40) 91.198.32.90.21 > 192.168.2.24.4267: F, cksum 0x1443 (correct), 133:133(0) ack 29 win 365
0x0000: 4500 0028 2cfe 4000 3906 d5f1 5bc6 205a E..(,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fef bfe0 37e6 ........"./...7.
0x0020: 5011 016d 1443 0000 0000 0000 0000 P..m.C........
22:21:13.403036 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 64, id 15487, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.2.24.4267 > 91.198.32.90.21: ., cksum 0x9634 (correct), 29:29(0) ack 134 win 32635
0x0000: 4500 0028 3c7f 0000 4006 ff70 c0a8 0218 E..(<...@..p....
0x0010: 5bc6 205a 10ab 0015 bfe0 37e6 22cd 2ff0 [..Z......7."./.
0x0020: 5010 7f7b 9634 0000 P..{.4..
22:21:13.403138 00:13:d4:65:60:2b > 00:1a:2a:22:f9:5b, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 64, id 15488, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.2.24.4267 > 91.198.32.90.21: R, cksum 0x15ac (correct), 29:29(0) ack 134 win 0
0x0000: 4500 0028 3c80 0000 4006 ff6f c0a8 0218 E..(<...@..o....
0x0010: 5bc6 205a 10ab 0015 bfe0 37e6 22cd 2ff0 [..Z......7."./.
0x0020: 5014 0000 15ac 0000 P.......



Befehle:
telnet 91.198.32.90 21
USER basti
PASS asd
QUIT


Edit: Zur überlegung das meine ftp config falsch ist: wenn kein service ausser ssh auf dem server läuft dann kann ich doch davon ausgehen das es nichts mit der ftp config zu tun hat, oder?

Wenn sich das ganze auf PM eingrenzen sollte, kann ich dir gerne ps auxc, netstat -nap zukommen lassen, öffentlich möchte ich das allerdings nicht posten ;)

Hi,



22:21:10.963798 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 76: (tos 0x0, ttl 57, id 11511, offset 0, flags [DF], proto: TCP (6), length: 62) 91.198.32.90.21 > 192.168.2.24.4267: P, cksum 0x6717 (correct), 97:119(22) ack 23 win 365
0x0000: 4500 003e 2cf7 4000 3906 d5e2 5bc6 205a E..>,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2fcb bfe0 37e0 ........"./...7.
0x0020: 5018 016d 6717 0000 3533 3020 4c6f 6769 P..mg...530.Logi
0x0030: 6e20 696e 636f 7272 6563 742e 0d0a n.incorrect...


Hast Du Dich beim Passwort nur vertippt, oder ist tatsaechlich das PW
fuer den User falsch? Was sagen die FTP logs?

Und dass ist dein FTP Banner? Proftpd (BNC4YOU klingt fuer mich suspekt,
aber das mag ja sein ;)



22:21:01.933585 00:1a:2a:22:f9:5b > 00:13:d4:65:60:2b, ethertype IPv4 (0x0800), length 116: (tos 0x0, ttl 57, id 11489, offset 0, flags [DF], proto: TCP (6), length: 102) 91.198.32.90.21 > 192.168.2.24.4267: P, cksum 0xc6b8 (correct), 1:63(62) ack 1 win 365
0x0000: 4500 0066 2ce1 4000 3906 d5d0 5bc6 205a E..f,.@.9...[..Z
0x0010: c0a8 0218 0015 10ab 22cd 2f6b bfe0 37ca ........"./k..7.
0x0020: 5018 016d c6b8 0000 3232 3020 5072 6f46 P..m....220.ProF
0x0030: 5450 4420 312e 332e 3020 5365 7276 6572 TPD.1.3.0.Server
0x0040: 2028 424e 4334 594f 5520 4654 5020 5365 .(BNC4YOU.FTP.Se
0x0050: 7276 6572 2920 5b39 312e 3139 382e 3332 rver).[91.198.32
0x0060: 2e39 305d 0d0a .90]..


Gute Nacht
403

PS, wie man in den ersten Paketen schoen sehen kann, antwortet niemand anstelle des geschlossenen ftpd, du hast vermutlich kein Rootkit drauf. Alle SYNs werden mit RST beantwortet.

das pw hab ich absichtlich falsch eingegeben ^^ kann das ja im tcp dump nicht öffentlich posten und nachbearbeiten wollte ich den post nicht.

das ftp banner ist korrekt.

Das da alles korrekt läuft wusste ich schon. Ich bin allerdings der ansicht das auf dem hostsystem meines providers irgendwas falsch läuft. Schließlich bringt ein




C:\Dokumente und Einstellungen\Basti\Desktop>telnet 91.198.32.90 21
*telnet öffnet sich*
*blinkender cursor für 5-6Sekunden*
C:\Dokumente und Einstellungen\Basti\Desktop>


Im Gegensatz zu:


C:\Dokumente und Einstellungen\Basti\Desktop>telnet 91.198.32.90 15
Verbindungsaufbau zu 91.198.32.90...Es konnte keine Verbindung mit dem Host herg
estellt werden, auf Port 15: Verbinden fehlgeschlagen

C:\Dokumente und Einstellungen\Basti\Desktop>

doofe Frage - kann es weder nachvollziehen (da kein Testsystem vorhanden) oder mit irgendwelchen Fakten begründen - und ich hatte auch noch keinen Kaffee, aber:

Da das ja ein vServer ist und dort ja normalerweise (?) über NAT vom Host auf den Gast übergeben wird - könnte es sein, daß der Host das Ding einfach mal entgegen nimmt (so nach dem Motto: ftp ist gut, nehme ich mal an, weil in irgendeiner Tabelle steht, daß in den Gästen div. ftp-Ports offen sind) und dann versucht, an den Gast zu übergeben und dann selbst in einen timeout läuft und danach dann die Verbindung zum Client wieder zu macht?

Wie gesagt, schlagt mich, wenn die Idee komplett idiotisch ist...

moin,


Du hast uns keinen erfolgreichen Login Versuch gezeigt. Man kommt bis zum Login. Es ist
also ein Applikation Problem!

Wenn Du bestaetigen kannst dass die Sessions funktionieren, kann es auch kein SQL
Problem sein. (also dass Server auf die DB wartet)

Poste Logs. (messages, ftpd, relevantes von der DB..)


Am einfachsten ist Du kontaktierst die nochmal!

@marce an sowas dachte ich auch schon , allerdings war meine Idee ein transparenter FTP Proxy oder ein IDS

Die Idee ist ueberhaupt nicht idiotisch.

Kannst du dich am Server selbst an deinem FTP Server anmelden?

Man könnte auch noch an der folgenden Quelle suchen -- evtl nochmal mit dem Portscanner --, denn es existiert folgende Eigenart: Wenn Anfragen an einen Port nicht von den iptables-Regeln abgewiesen werden (und zwar mit "icmp destination unreachable", Ziel "reject"), dann werden die Pakete im Endeffekt einfach weggeworfen, und die Anwendungssoftware am anderen Ende muß irgendwie reagieren, sobald der Timeout abgelaufen ist.

Was ich damit sagen will, ist: Port zu, iptables-Ziel "reject": Ergebnis definiert, wenn das ICMP-Paket durchkommt, nämlich "connection refused". Wenn nur kein Dienst lauscht, ist das Ergebnis undefiniert, bzw. "Timeout". Und: Das Betriebssystem arbeitet korrekt, indem es die TCP-Pakete entgegen nimmt und aufschlüsselt (sprich, den Three-Way-Handshake durchführt).

Die Lösung des Problems könnte also relativ einfach sein und irgendwo zwischen Netzwerk-Routen, Procxies und BS verborgen liegen. Ein gründlicher Scan nach Rootkits ist aber sicherlich keine schlechte Idee. :)

HTH.

Thema ist SOLVED

Ich hatte in meinem pf eine falsche regel für die FTP Verbindungen, selbige hat die leitung *hängen* lassen. Warum wieso kA, hab die Regel heute rausgenommen, seitdem ist das prob weg. Hatte meinen PC vor nen paar Wochen mal ans Netz gebracht um mit auf arbeit paar files zu ziehen.
Hatte das total vergessen.:ugly:

Grüße, danke und Bye :)